CentOS 7 下审计服务安装配置

最新推荐文章于 2024-05-17 10:22:08 发布
最新推荐文章于 2024-05-17 10:22:08 发布
阅读量2.5k 收藏 7
点赞数
分类专栏: Linux 学习 服务器配置 文章标签: 审计 Audit Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010766726/article/details/108200250
版权

文章目录

Audit 服务安装

[root@demo ~]# yum -y install audit audit-libs-devel

Audit 启动 && 开机启动

[root@demo ~]# systemctl daemon-reload
[root@demo ~]# systemctl enable auditd

配置 Audit 规则

[root@demo ~]# vim /etc/audit/rules.d/audit.rules
记录系统的日期和时间的修改
-a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time-change
-a always,exit -F arch=b32 -S adjtimex -S settimeofday -S stime -k timechange
-a always,exit -F arch=b64 -S clock_settime -k time-change
-a always,exit -F arch=b32 -S clock_settime -k time-change
-w /etc/localtime -p wa -k time-change
记录用户和组的修改的事件
-w /etc/group -p wa -k identity
-w /etc/passwd -p wa -k identity
-w /etc/gshadow -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/security/opasswd -p wa -k identity
记录网络环境修改时间
-a always,exit -F arch=b64 -S sethostname -S setdomainname -k system-locale
-a always,exit -F arch=b32 -S sethostname -S setdomainname -k system-locale
-w /etc/issue -p wa -k system-locale
-w /etc/issue.net -p wa -k system-locale
-w /etc/hosts -p wa -k system-locale
-w /etc/sysconfig/network -p wa -k system-locale
-w /etc/sysconfig/network-scripts/ -p wa -k system-locale
记录登录和登出事件
-w /var/log/lastlog -p wa -k logins
-w /var/run/faillock/ -p wa -k logins
记录会话启动事件
-w /var/run/utmp -p wa -k session
-w /var/log/wtmp -p wa -k logins
-w /var/log/btmp -p wa -k logins

文件/var/run/utmp跟踪当前登录的所有用户。所有审计记录都将用标识符“session”标记,  可以用who命令读取

/var/log/wtmp文件跟踪登录、注销、关机和重新启动事件。

文件/var/log/btmp跟踪失败的登录尝试,可以通过输入命令 ‘/usr/bin/last-f  /var/log/btmp’ 读取。所有审核记录都将被标记为标识符“logins”
监视对文件权限、属性、所有权和组的更改
-a always,exit -F arch=b64 -S chmod -S fchmod -S fchmodat -F auid>=1000 -F auid!=4294967295 -k perm_mod
-a always,exit -F arch=b32 -S chmod -S fchmod -S fchmodat -F auid>=1000 -F auid!=4294967295 -k perm_mod
-a always,exit -F arch=b64 -S chown -S fchown -S fchownat -S lchown -F auid>=1000 -F auid!=4294967295 -k perm_mod
-a always,exit -F arch=b32 -S chown -S fchown -S fchownat -S lchown -F auid>=1000 -F auid!=4294967295 -k perm_mod
-a always,exit -F arch=b64 -S setxattr -S lsetxattr -S fsetxattr -S removexattr -S lremovexattr -S fremovexattr -F auid>=1000 -F auid!=4294967295 -k perm_mod
-a always,exit -F arch=b32 -S setxattr -S lsetxattr -S fsetxattr -S removexattr -S lremovexattr -S fremovexattr -F auid>=1000 -F auid!=4294967295 -k perm_mod
记录未授权文件访问尝试
-a always,exit -F arch=b64 -S creat -S open -S openat -S truncate -S ftruncate -F exit=-EACCES -F auid>=1000 -F auid!=4294967295 -k access
-a always,exit -F arch=b32 -S creat -S open -S openat -S truncate -S ftruncate -F exit=-EACCES -F auid>=1000 -F auid!=4294967295 -k access
-a always,exit -F arch=b64 -S creat -S open -S openat -S truncate -S ftruncate -F exit=-EPERM -F auid>=1000 -F auid!=4294967295 -k access
-a always,exit -F arch=b32 -S creat -S open -S openat -S truncate -S ftruncate -F exit=-EPERM -F auid>=1000 -F auid!=4294967295 -k access
收集成功挂载磁盘事件
-a always,exit -F arch=b64 -S mount -F auid>=1000 -F auid!=4294967295 -k mounts
-a always,exit -F arch=b32 -S mount -F auid>=1000 -F auid!=4294967295 -k mount
收集用户的文件删除事件
-a always,exit -F arch=b64 -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=4294967295 -k delete
-a always,exit -F arch=b32 -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=4294967295 -k delete
收集对系统管理范围(sudoers)的更改
-w /etc/sudoers -p wa -k scope
-w /etc/sudoers.d/ -p wa -k scope
收集内核模块加载和卸载
-w /sbin/insmod -p x -k modules
-w /sbin/rmmod -p x -k modules
-w /sbin/modprobe -p x -k modules
-a always,exit -F arch=b64 -S init_module -S delete_module -k modules
收集使用特权命令
  • 通过命令获取
[root@demo ~]# find / -xdev \( -perm -4000 -o -perm -2000 \) -type f | awk '{print \
> "-a always,exit -F path=" $1 " -F perm=x -F auid>=1000 -F auid!=4294967295 \
> -k privileged" }'
  • 获取结果
-a always,exit -F path=/usr/bin/wall -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged
-a always,exit -F path=/usr/bin/chfn -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged
-a always,exit -F path=/usr/bin/chsh -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged
-a always,exit -F path=/usr/bin/su -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged
-a always,exit -F path=/usr/bin/chage -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged
-a always,exit -F path=/usr/bin/gpasswd -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged
-a always,exit -F path=/usr/bin/newgrp -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged
-a always,exit -F path=/usr/bin/staprun -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged
-a always,exit -F path=/usr/bin/mount -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged
-a always,exit -F path=/usr/bin/pkexec -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged
-a always,exit -F path=/usr/bin/umount -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged
-a always,exit -F path=/usr/bin/write -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged
-a always,exit -F path=/usr/bin/crontab -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged
-a always,exit -F path=/usr/bin/sudo -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged
-a always,exit -F path=/usr/bin/ssh-agent -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged
-a always,exit -F path=/usr/bin/passwd -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged
-a always,exit -F path=/usr/sbin/pam_timestamp_check -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged
-a always,exit -F path=/usr/sbin/unix_chkpwd -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged
-a always,exit -F path=/usr/sbin/netreport -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged
-a always,exit -F path=/usr/sbin/usernetctl -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged
-a always,exit -F path=/usr/sbin/postdrop -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged
-a always,exit -F path=/usr/sbin/postqueue -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged
-a always,exit -F path=/usr/lib/polkit-1/polkit-agent-helper-1 -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged
-a always,exit -F path=/usr/libexec/utempter/utempter -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged
-a always,exit -F path=/usr/libexec/dbus-1/dbus-daemon-launch-helper -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged
-a always,exit -F path=/usr/libexec/openssh/ssh-keysign -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged

参考

老实人张大傻
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
centos 日志审计_CentOS7下安全审计工具Auditd的简单使用
weixin_30143813的博客
01-17 3416
auditdauditd是Linux审计系统的用户空间组件,它负责将审计记录写入磁盘。查看日志使用ausearch或aureport实用程序完成。使用auditctl实用程序配置审核系统或加载规则。在auditd启动期间,/etc/audit/audit.rules 中的审计规则由auditctl读取并加载到内核中。或者还有一个 augenrules程序,读取/etc/audit/rules.d...
audit安装配置及使用
weixin_45630387的博客
04-14 1108
官网链接:https://access.redhat.com/documentation/zh-cn/red_hat_enterprise_linux/7/html/security_guide/chap-system_auditing。
Centos7环境下MySQL5.7.38 安装开源审计插件 mysql-audit
最新发布
chmod_R_755的专栏
05-17 530
MySQL版本众多, 同样审计的软件众多,为什么使用 mysql-audit ,原因:老外的弄得,一直在维护,支持的MySQL版本多。修改root用户登录密码,密码就是上面的随机字符串 ,我的是 …我的服务器版本是centos7的64位操作系统, 根据自己情况选择自己的版本 ,下载选择 tar源码包。显示所有可用的插件 , 比如我的系统是64为的,我要用5.7.38的MySQL,我就下载对应的插件。但是我们是源码包安装的 mysqld 位置 : /usr/local/mysql/bin/
mysql 5.7 centos7安装 audit审计插件
pengkui201208的博客
03-04 2481
下载地址:https://bintray.com/mcafee/mysql-audit-plugin/release/1.1.4-725#files下载文件(audit-plugin-mysql-5.7-1.1.2-694-linux-x86_64.zip) 1、unzip audit-plugin-mysql-5.7-1.1.2-694-linux-x86_64.zip 2、查看mys...
centos安装审计日志
qq_42430287的博客
02-23 1401
centos安装audit审计日志 安装: 直接使用yum进行安装auditd系列程序: yum -y install audit auditd-libs 相关命令: 1、auditctl : 即时控制审计守护进程的行为的工具,比如如添加规则等等。 auditctl -l #查看规则 auditctl -D #清空规则 2、aureport : 查看和生成审计报告的工具。 aureport -l...
CentOS7日志审计
ezbuy的博客
07-16 1万+
写在前面的话: 最近公司在做等保,其中有审计的内容,因为第一次接触,所以在此粘贴在网上查找的各种资料,以作记录. 目录 一、用户空间审计系统简介 二、auditd配置文件 三、配置审计规则 四、审计日志内容 五、使用ausearch搜索审计日志 六、使用aureport查看审计报告 一、用户空间审计系统简介 Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理...
Cenos7 登录安全设置和审计设置
zongzhibin117的博客
02-24 1416
Cenos7 登录安全设置和审计设置
centos审计服务audit导致使centos服务器不能登录,部署的应用不能运行和访问。
一滴水中的大海
11-18 1342
场景描述: 某天服务器上部署的tomcat服务夜间突然不能正常访问,此时用户访问量不大。查看线程还在运行,查看应用日志无任何异常,但是应用的控制台停止输出。只要重启后应用立刻能够正常访问。此后几天应用无任何异常把表现,但是经过一个周末后,周一早上发现应用不能又不能访问,并且服务器不能登录,重启服务器后,再重启应用,程序运行正常。此后应用每隔2到3天就会出现不能访问,并偶尔伴随操作系统不能登录,并且重启后正常。 原因: 运维人员查询原因后,确定是audit服务引起的,问题的原因是audit服务在繁忙的系统中进
CentOS 7下mysql 5.7 安装教程
12-16
在本教程中,我们将深入探讨如何在CentOS 7操作系统上安装MySQL 5.7,以及后续的一些关键配置,如修改root密码、设置字符集为UTF-8和允许远程访问。 首先,安装MySQL 5.7需要从MySQL的官方Yum Repository下载。这...
centos7 rpm安装ntp
03-28
Linux系统中,CentOS 7是一个广泛应用的操作系统,它被广泛用于服务器环境。NTP(Network Time Protocol)是互联网上用于同步计算机时间的一个标准...遵循上述步骤,你可以在CentOS 7上成功地离线安装配置NTP服务
Linux/CentOS服务器安全配置通用指南
09-15
Linux/CentOS服务器的安全配置是保护系统免受恶意攻击和数据泄露的关键步骤。以下是一份通用的Linux/CentOS服务器安全配置指南,旨在提供基础但有效的安全加固措施。 1. **禁用不使用的用户和组** 在Linux系统中,...
CentOS7升级OPENSSH至8.9P1
04-25
同时,遵循最佳实践,如定期审计`sshd_config`以确保只启用必要的服务,并限制不必要的访问权限。 总之,升级`CentOS7`上的`OpenSSH`至8.9P1是一个关键的安全措施,可以增强系统的安全性并利用新功能。通过简单的...
mysql7 centos7 redhat 安装包.7z
09-27
总结来说,安装MySQL 5.7.21在CentOS 7或Red Hat上涉及到多个步骤,包括下载和解压离线安装包、安装依赖、配置服务、初始化数据库以及进行必要的安全设置。理解这些步骤和相关知识对于有效管理和维护MySQL服务器至关...
Centos8 使用auditd配置系统审计
Linuxprobe18的博客
01-03 490
导读 系统管理员使用审计来发现安全违规并跟踪其系统上的安全相关信息。根据预先配置的规则和属性,auditd 生成日志条目以记录有关系统上发生的事件信息。管理员使用此信息来分析安全策略出了什么问题,并通过采取其他措施进一步改进它们。 本文介绍如何安装配置和管理审计服务。它还展示了如何定义审计规则、搜索审计日志和创建审计报告。 安装audit audit包默认安装Centos8中。如果未安装,请使用以下命令添加: [root@localhost ~]# yum -y install au.
记录一次Centos7开启审计Audit,导致会自动关机的问题
ljq354004063的博客
04-20 1517
发现某一台服务器,在获取svn代码时,获取一段时间后,服务器自动关机。 检查日志/var/log/messages 发现其中audit由于磁盘空间不够,导致关机的情况 检查发现: /var/log/audit审计日志占磁盘空间很大,直接删除后,释放了磁盘空间后,即可。 ...
Linux审计工具auditd使用与日志收集
不以物喜的博客
02-04 1万+
0 概述 Auditd工具可以帮助运维人员审计Linux,分析发生在系统中的发生的事情。Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞(如多次失败的登录尝试,或者用户对系统文件不成功的访问)。 1 安装 Centos7默认已安装Audit 使用命令service auditd status可查看该服务是否开启 2 配置文件 在/etc/audit路径下 auditd.conf文件 ----审计工具的配置文件 audit.rules文
centos 7核心版优化
ELF Project
04-10 2117
1、禁用不需要的服务 systemctl disable auditd avahi-daemon firewalld kdumo tuned chkconfig iprdump off chkconfig iprinit off chkconfig iprupdate off chkconfig network off 2、关闭selinux setenforce
Linux安全审计功能的实现——audit详解
热门推荐
u012759006的博客
04-29 1万+
1、安装centos默认安装,Ubuntu:sudo apt-get install auditd 2、开启auditd服务: service auditd start 3、查看当前auditd服务状态: service auditd status auditctl -s 4、重启auditd服务: service auditd restart 或 service audi...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值